Abo
  • Services:

SSL-Lücke: Poodle beißt Windows Phone 7

Windows Phone 7 kann Mails nur mit dem uralten SSL-Protokoll Version 3 abholen. Das wird aber von vielen Mailservern wegen der Poodle-Lücke nicht mehr angeboten. Auf Abhilfe können Nutzer wohl nicht hoffen.

Artikel veröffentlicht am , Hanno Böck
2011 war es ein High-End-Gerät, heute lassen sich keine Mails mehr damit abrufen: das Lumia 800.
2011 war es ein High-End-Gerät, heute lassen sich keine Mails mehr damit abrufen: das Lumia 800. (Bild: Kiwi Flickr, CC by 2.0)

Viele Nutzer von Mobiltelefonen mit dem Betriebssystem Windows Phone 7 können seit kurzem ihre Mails nicht mehr abrufen. Der Grund ist, dass das von Microsoft nicht mehr unterstützte System beim Mailabruf mit POP3 oder IMAP nur das alte SSL-Protokoll in Version 3 unterstützt. Das betrifft unter anderem das Nokia Lumia 800-Smartphone, welches 2011 als erstes Produkt nach der Kooperation von Microsoft und Nokia veröffentlicht wurde.

Stellenmarkt
  1. B. Strautmann & Söhne GmbH & Co. KG, Bad Laer
  2. Kassenärztliche Bundesvereinigung, Berlin

Nachdem die Poodle-Sicherheitslücke in SSL 3 entdeckt wurde, haben die meisten Serverbetreiber das alte SSL-Protokoll abgestellt. Das SSL 3-Protokoll ist uralt: Es wurde in den 90ern von Netscape entwickelt und eigentlich bereits 1999 durch TLS 1.0 abgelöst. Doch obwohl SSL 3 technisch völlig veraltet ist und zahlreiche Probleme hat, wurde es bis vor kurzem noch vielfach eingesetzt. Die IETF-TLS-Arbeitsgruppe bereitet gerade einen Standard vor, der die Abschaffung von SSL 3 vorsieht.

Microsoft hat inzwischen den Support für Windows Phone 7 eingestellt. Die letzte Version 7.8 wurde im März 2013 veröffentlicht, im Oktober dieses Jahres endete der Support offiziell. Somit ist vermutlich davon auszugehen, dass Nutzer dieser Geräte keine Updates mehr erhalten werden und das Problem ungelöst bleibt.

In Foren von Microsoft machen einige Nutzer ihrem Ärger Luft. Die Verärgerung der Nutzer ist nachvollziehbar. Auch wenn das System aktuell nicht mehr unterstützt wird, sollten Kunden davon ausgehen können, dass sie ein Produkt gekauft haben, das bei seiner Veröffentlichung dem aktuellen Stand der Technik entsprach. Windows Phone 7 wurde 2010 veröffentlicht, elf Jahre nach der Veröffentlichung von TLS 1.0.

Microsofts Entscheidung ist unverständlich

Warum Microsoft sich entschieden hat, das System ohne TLS-Support für den Mail-Abruf auszuliefern, ist schwer nachvollziehbar. Denn eigentlich unterstützt das System TLS. Der integrierte Webbrowser des Betriebssystems ist problemlos in der Lage, Webseiten mit TLS aufzurufen. Testen kann man das etwa mit den Webseiten von Twitter oder Github, die nach der Poodle-Lücke die Unterstützung für Verbindungen mit dem alten SSL-Protokoll abgeschaltet haben.

Für Nutzer von T-Online gibt es einen Workaround: Statt mit TLS können die Nutzer Mails mit einem Protokoll namens Exchange Activesync abrufen. Auch Freenet bietet diese Möglichkeit an. Exchange Activesync ist ein proprietäres, von Microsoft selbst entwickeltes Protokoll zum Mailabruf. Nutzer anderer Mailanbieter, die nur standardisierte Protokolle anbieten, haben diese Möglichkeit allerdings nicht. Das betrifft beispielsweise Kunden von GMX oder Web.de.

Wir haben bei der Pressestelle von Microsoft um eine Stellungnahme gebeten, jedoch keine Antwort erhalten.

Generell zeigt der Vorfall, wie schwierig es ist, alte Protokolle abzuschaffen. Das Problem sind dabei weniger die wirklich alten Geräte, sondern vielmehr Hersteller, die auch nach Jahren noch veraltete Protokolle einsetzen. Ähnliche Probleme dürften in Zukunft eher noch zunehmen, denn die protokollseitigen Angriffe auf SSL/TLS häufen sich. In Kürze wird es vermutlich einen Standard geben, der die Abschaltung von RC4 verlangt. Mittelfristig steht wohl auch die völlige Abschaffung von den problembehafteten CBC-Modi in TLS an. Das dürfte aber Probleme in viel größerem Ausmaß bereiten, denn damit könnten TLS 1.0 und 1.1 überhaupt nicht mehr genutzt werden. Nur TLS 1.2 bietet zurzeit wirklich sichere Verschlüsselungsverfahren an.



Anzeige
Top-Angebote
  1. (aktuell u. a. Corsair CX750 für 64,90€ + Versand)
  2. 9,99€ (mtl., monatlich kündbar)
  3. 229,99€
  4. ab 19,99€

Dwalinn 15. Dez 2014

WP7 war halt ein großer beta test für WP8. Soweit ich weiß werden ja alle Lumias WP10...

Anonymer Nutzer 15. Dez 2014

Na dann ist es ja OK wenn einem die eMail-Funktionalität verloren geht. Wenn es MS nicht...

Anonymer Nutzer 14. Dez 2014

Unter WP8.x verhält sich ein Outlook-Account genauso, wie der GMAIL-Account unter...

Anonymer Nutzer 14. Dez 2014

Dann hast du aber offensichtlich das Problem nicht verstanden. Das Problem hat nähmlich...

forumuser372 13. Dez 2014

Weil man sich auf das Wesentliche beschränkt. Klar, jetzt kann man argumentieren, dass...


Folgen Sie uns
       


Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
Echo Wall Clock im Test: Ach du liebe Zeit, Amazon!
Echo Wall Clock im Test
Ach du liebe Zeit, Amazon!

Die Echo Wall Clock hat fast keine Funktionen und die funktionieren auch noch schlecht: Amazons Wanduhr ist schon vielen US-Nutzern auf den Zeiger gegangen - im Test auch uns.
Ein Test von Ingo Pakalski

  1. Amazon Echo Link und Echo Link Amp kommen mit Beschränkungen
  2. Echo Wall Clock Amazon verkauft die Alexa-Wanduhr wieder
  3. Echo Wall Clock Amazon stoppt Verkauf der Alexa-Wanduhr wegen Technikfehler

Orientierungshilfe: Wie Webseiten Nutzer tracken dürfen - und wie nicht
Orientierungshilfe
Wie Webseiten Nutzer tracken dürfen - und wie nicht

Für viele Anbieter dürfte es schwierig werden, ihre Nutzer wie bisher zu tracken. In monatelangen Beratungen haben die deutschen Datenschützer eine 25-seitige Orientierungshilfe zum DSGVO-konformen Tracking ausgearbeitet.
Ein Bericht von Christiane Schulzki-Haddouti

  1. Cookie-Banner Deutsche Datenschützer spielen bei Nutzertracking auf Zeit
  2. Fossa EU erweitert Bug-Bounty-Programm für Open-Source-Software
  3. EU-Zertifizierung Neues Gesetz soll das Internet sicherer machen

Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


      •  /